某銀行分行遠程授權(quán)網(wǎng)絡(luò)建設(shè)方案

1、某銀行分行遠程授權(quán)網(wǎng)絡(luò)建設(shè)方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc453160760 1 前言 PAGEREF _Toc453160760 h - 1 - HYPERLINK l _Toc453160761 1.1 文檔目的 PAGEREF _Toc453160761 h - 1 - HYPERLINK l _Toc453160762 1.2 適用范圍 PAGEREF _Toc453160762 h - 1 - HYPERLINK l _Toc453160763 2 項目背景和目標 PAGEREF _Toc453160763 h - 1 - HYPERLIN

2、K l _Toc453160764 3 網(wǎng)絡(luò)拓撲 PAGEREF _Toc453160764 h - 2 - HYPERLINK l _Toc453160765 4 設(shè)備名稱規(guī)劃 PAGEREF _Toc453160765 h - 3 - HYPERLINK l _Toc453160766 5 IP地址規(guī)劃 PAGEREF _Toc453160766 h - 6 - HYPERLINK l _Toc453160767 5.1 廣域網(wǎng)互聯(lián)地址規(guī)劃 PAGEREF _Toc453160767 h - 6 - HYPERLINK l _Toc453160768 5.2 網(wǎng)點局域網(wǎng)地址規(guī)劃 PAGER

3、EF _Toc453160768 h - 7 - HYPERLINK l _Toc453160769 5.3 分行核心設(shè)備互聯(lián)地址規(guī)劃 PAGEREF _Toc453160769 h - 7 - HYPERLINK l _Toc453160770 5.4 網(wǎng)絡(luò)設(shè)備loopback地址規(guī)劃 PAGEREF _Toc453160770 h - 8 - HYPERLINK l _Toc453160771 設(shè)備安裝相關(guān)信息 PAGEREF _Toc453160771 h - 8 - HYPERLINK l _Toc453160772 6 路由規(guī)劃 PAGEREF _Toc453160772 h - 8

4、 - HYPERLINK l _Toc453160773 7 項目實施 PAGEREF _Toc453160773 h - 10 - HYPERLINK l _Toc453160774 準備工作 PAGEREF _Toc453160774 h - 10 - HYPERLINK l _Toc453160775 實施具體步驟 PAGEREF _Toc453160775 h - 11 - HYPERLINK l _Toc453160776 8 測試驗證 PAGEREF _Toc453160776 h - 12 - HYPERLINK l _Toc453160778 鏈路連通性測試 PAGEREF _

5、Toc453160778 h - 12 - HYPERLINK l _Toc453160780 鏈路冗余性測試 PAGEREF _Toc453160780 h - 13 - HYPERLINK l _Toc453160781 設(shè)備冗余性測試 PAGEREF _Toc453160781 h - 14 - HYPERLINK l _Toc453160783 9 配置示例 PAGEREF _Toc453160783 h - 14 -1 前言1.1 文檔目的此文檔僅作為某銀行分行遠程授權(quán)網(wǎng)絡(luò)建設(shè)方案，以保證遠程授權(quán)網(wǎng)絡(luò)建設(shè)順利實施。 1.2 適用范圍本文檔適用于參與浦發(fā)遠程授權(quán)網(wǎng)絡(luò)建設(shè)實施人員，項目實

6、施應(yīng)該遵循本文檔，本文檔在項目實施過程中也將逐步調(diào)整和完善。在實施結(jié)束后，也可作為浦發(fā)信息科技部網(wǎng)絡(luò)運維管理的文檔資料。2 項目背景和目標浦發(fā)銀行針對用戶賬戶安全以及安全交易考慮，對社區(qū)、小微支行特殊交易進行遠程授權(quán)操作，以保障用戶賬戶安全，該項目為獨立組網(wǎng)，通過在每個網(wǎng)點安裝一臺網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備用單鏈路通過運營商的雙鏈路連接至分行遠程授權(quán)路由器設(shè)備，遠程授權(quán)路由器和遠程授權(quán)交換機進行互聯(lián)，視頻服務(wù)器通過雙網(wǎng)卡分別接入遠程授權(quán)交換機和分行服務(wù)器區(qū)交換機。3 網(wǎng)絡(luò)拓撲備注：部分網(wǎng)點運營商到分行匯聚路由器只有一條線路如上圖所示，網(wǎng)點路由交換一體機通過運營商鏈路連接至匯聚路由器，運營商通過雙鏈路連

7、接至兩臺匯聚路由器，或者有的網(wǎng)點是運營商到分行匯聚路由器只有一條線路。分行匯聚路由器與核心交換機之間呈口字型互聯(lián)，遠程授權(quán)服務(wù)器通過雙網(wǎng)卡分別連接至分行服務(wù)器交換機和遠程授權(quán)交換機上。4 設(shè)備名稱規(guī)劃為規(guī)范網(wǎng)絡(luò)設(shè)備名稱，統(tǒng)一和簡化管理，要對網(wǎng)絡(luò)設(shè)備進行規(guī)范命名。網(wǎng)絡(luò)設(shè)備的命名由一級分行代碼、二級區(qū)域、功能區(qū)域、設(shè)備型號、設(shè)備序號信息組成，字段間用“_”分隔。一級分行代碼固定字符二級區(qū)域固定字符區(qū)域信息固定字符設(shè)備類型設(shè)備型號固定字符設(shè)備序號3位-3位-2位-14位-2位一級分行代碼：由3個大寫字母組成，描述分行所在地區(qū)的標識，兩個漢字組成的分行代碼由第一、第二個漢字的拼音首字母加上第二個漢字拼

8、音的尾字母組成；由三個或三個以上漢字組成的分行代碼由前三個漢字的拼音首字母組成。具體可參見附件：一級分行命名代碼及原IP網(wǎng)段分配。序號分行名稱一級分行代碼1上海分行SHI2南京分行NJN3江陰分行JYN4北京分行BJG5杭州分行HZU6寧波分行NBO7廣州分行GZU8溫州分行WZU9蘇州分行SZU10重慶分行CQG11深圳分行SZN12昆明分行KMG13蕪湖分行WHU14天津分行TJN15鄭州分行ZZU16大連分行DLN17濟南分行JNN18成都分行CDU19西安分行XAN20沈陽分行SYG21武漢分行WHN22青島分行QDO23太原分行TYN24哈爾濱分行HEB25長沙分行CSA26南昌分行

9、NCG27南寧分行NNG28烏魯木齊分行WLM29長春分行CCN30呼和浩特分行HHH31合肥分行HFI32蘭州分行LZU33石家莊分行SJZ34福州分行FZU35貴陽分行GYG36廈門分行XMG37西寧分行XNG38香港分行XGG39?？诜中蠬KU二級區(qū)域：由3個大寫字母組成，描述設(shè)備所在分行的具體區(qū)域。分行本部設(shè)備二級區(qū)域代碼統(tǒng)一為BBU，分行網(wǎng)絡(luò)備份機房（如有）二級區(qū)域代碼統(tǒng)一為ZBI，其他二級區(qū)域原則上可由分行自行命名，命名可參考一級分行代碼的命名規(guī)則。以下例舉部分名稱供參考：分行名稱分行代碼南京分行湖南路支行NJN-HNN沈陽分行泰山支行SYG-TSN武漢分行江漢支行WHN-JHN青

10、島分行開發(fā)區(qū)支行QDO-KFQ西安分行本部XAN-BBU設(shè)備功能：由2位大寫字母組成，描述設(shè)備所在分行的具體功能區(qū)域。以下例舉部分名稱供參考：設(shè)備類型代碼核心交換機HX匯聚路由器HJ接入層交換機JR網(wǎng)點設(shè)備WD設(shè)備類型：由1或者2位大寫字母組成，網(wǎng)絡(luò)設(shè)備類型包含交換機、路由器。具體的對應(yīng)關(guān)系如下表所示：設(shè)備類型代碼路由器AR交換機S設(shè)備型號：由4位字符組成，通常取設(shè)備型號的前4位數(shù)字，如數(shù)字型號不足4位數(shù)字，以型號字母從首字母開始補足。設(shè)備序號：由2位數(shù)字組成，對設(shè)備分行代碼、二級區(qū)域、設(shè)備類型、設(shè)備型號均一致的設(shè)備加以區(qū)分，由數(shù)字01開始計數(shù)。2）網(wǎng)絡(luò)設(shè)備命名范例太原分行遠程授權(quán)核心交換機1

11、：TYN-BBU-HX-S5720-1太原分行遠程授權(quán)核心交換機2：TYN-BBU-HX-S5720-2太原分行遠程授權(quán)匯聚路由器1：TYN-BBU-HJ-AR2240-1太原南內(nèi)環(huán)支行遠程授權(quán)路由器1：TYN-NNH-WD-AR2204-015 IP地址規(guī)劃本次浦發(fā)銀行遠程授權(quán)及集中監(jiān)控項目需要對分行以及支行的IP地址進行重新規(guī)劃，以避免IP地址沖突以及便于區(qū)分各分行。根據(jù)浦發(fā)銀行營業(yè)網(wǎng)點、分支機構(gòu)的數(shù)量和規(guī)模，廣域網(wǎng)互聯(lián)地址，網(wǎng)點局域網(wǎng)地址、及設(shè)備互聯(lián)IP地址格式為30.XX，第一段為30，第二段XX為各個分行的IP地址位，第三、四段各分行進行自行規(guī)劃。分行的IP地址位見原IP網(wǎng)段分配表。

12、例如：長春分行IP規(guī)劃為：30.29.YY.ZZ。5.1 廣域網(wǎng)互聯(lián)地址規(guī)劃廣域網(wǎng)互聯(lián)地址規(guī)劃方案一所有支行、營業(yè)網(wǎng)點、社區(qū)銀行均通過運營商連接至兩臺分行匯聚路由器，互聯(lián)地址使用/29位掩碼，6個可用IP地址，兩臺分行匯聚路由器相應(yīng)子接口使用不同IP地址。30.X.255.123規(guī)劃為分行網(wǎng)絡(luò)設(shè)備互聯(lián)地址，分行路由器與支行互聯(lián)地址規(guī)劃范圍為30.X.255.2430.X.255.255，可分配29個/29掩碼地址段，30.X.255.0/24段IP地址分配完后使用30.X.254.0/24、30.X.253.0/24 每個/24地址段可分配32個/29地址段。廣域網(wǎng)互聯(lián)地址規(guī)劃如下：網(wǎng)點本地互

13、聯(lián)地址對端分行互聯(lián)地址備注某支行130.X.255.25/2930.X.255.26/2930.X.255.27/29空余地址：30.X.255.2830某支行230.X.255. 33/2930.X.255.34/2930.X.255.35/29空余地址：30.X.255.3638*某支行X-130.X.255.241/2930.X.255.242/2930.X.255.243/29某支行X30.X.255.249/29此方案優(yōu)點，運營商雙鏈路連接至分行，與支行分別建立OSPF鄰居，主線路出現(xiàn)問題可以自動切換至備線路，不會造成ARP沖突。 缺點：會造成較多IP地址資源浪費。適用情景：運營商可

14、以提供雙鏈路，并且可以實現(xiàn)自動切換廣域網(wǎng)互聯(lián)地址地址規(guī)劃方案二所有支行、營業(yè)網(wǎng)點、社區(qū)銀行均通過運營商連接至兩臺分行匯聚路由器，互聯(lián)地址使用/30位掩碼，有2個可用地址。兩臺分行匯聚路由器相應(yīng)子接口使用相同IP地址，30.X.255.123規(guī)劃為分行網(wǎng)絡(luò)設(shè)備互聯(lián)地址，分行路由器與支行互聯(lián)地址規(guī)劃范圍為30.X.255.2430.X.255.255，可分配58個/30掩碼地址段。30.X.255.0/24段IP地址分配完后使用30.X.254.0/24、30.X.253.0/24 每個/24地址段可分配64個/30地址段。網(wǎng)點本地互聯(lián)地址對端分行互聯(lián)地址備注某支行130.X.255.25/303

15、0.X.255.26/30某支行230.X.255.29/3030.X.255.30/30*某支行X-130.X.255.249/3030.X.255.250/30某支行X30.X.255.253/30此方案優(yōu)點：節(jié)省IP地址資源。缺點：兩臺分行匯聚路由器相應(yīng)子接口配置相同IP地址，可能會出現(xiàn)ARP沖突，影響主用線路情況。下文 HYPERLINK l _6_路由規(guī)劃 路由規(guī)劃中也有相關(guān)說明。適用場景：1、支行至運營商，然后運營商只有一條線路至分行匯聚路由器 2、支行至運營商，然后運營商兩條線路至分行匯聚路由器5.2 網(wǎng)點局域網(wǎng)地址規(guī)劃網(wǎng)點局域網(wǎng)地址段局域網(wǎng)網(wǎng)關(guān)vlan ID備注5.3 分行核心

16、設(shè)備互聯(lián)地址規(guī)劃分行兩臺遠程授權(quán)匯聚路由器、兩臺遠程授權(quán)核心交換機互聯(lián)地址分別規(guī)劃為/30位掩碼IP地址。本端設(shè)備對端設(shè)備本端設(shè)備互聯(lián)地址對端設(shè)備互聯(lián)地址備注遠程授權(quán)交換機1遠程授權(quán)交換機230.X.255.1/3030.X.255.2/30遠程授權(quán)交換機1遠程授權(quán)路由器1.255.5/30.255.6/30遠程授權(quán)交換機2遠程授權(quán)路由器2.255.9/30.255.10/30遠程授權(quán)路由器1遠程授權(quán)路由器2.255.13/30.255.14/305.4 網(wǎng)絡(luò)設(shè)備loopback地址規(guī)劃設(shè)備IP地址掩碼分行遠程授權(quán)交換機1分行遠程授權(quán)交換機2分行遠程授權(quán)路由器1分行遠程授權(quán)路由器2某支行路由器

17、某支行路由器分行l(wèi)oopback地址為，為分行遠程授權(quán)備用IP地址，支行網(wǎng)絡(luò)設(shè)備loopback地址從開始依次遞增。loopback地址均使用32位掩碼。設(shè)備安裝相關(guān)信息包括設(shè)備名稱、設(shè)備型號、設(shè)備SN、設(shè)備安裝詳細位置。6 路由規(guī)劃分行核心交換機、匯聚路由器與各網(wǎng)點路由協(xié)議使用OSPF協(xié)議，分行中心端使用Area 0，每個地級城市的網(wǎng)點為一個Area，在分行匯聚路由器ABR上做域間路由過濾，使每個網(wǎng)點只學(xué)習(xí)到省分行的路由，網(wǎng)點從Area1開始使用。地級城市一個城市網(wǎng)點為一個OSPF區(qū)域，上海、北京等分行一個區(qū)為一個OSPF 區(qū)域。兩臺遠程授權(quán)匯聚路由器與網(wǎng)點路由交換一體機的互聯(lián)時需要規(guī)劃不同

18、地址，分別與支行的路由器一體機建立OSPF鄰居關(guān)系。通過調(diào)整分行備用路由器的接口Cost值，路由選路時主線路走主用分行路由器1。運營商與遠程授權(quán)匯聚路由器1互聯(lián)的線路出現(xiàn)問題或者遠程授權(quán)匯聚路由器1設(shè)備本身出現(xiàn)故障時，會自動切換到運營商與遠程授權(quán)匯聚路由器2的線路，從而不會造成業(yè)務(wù)的中斷。如果IP地址資源有限，需要將分行兩臺匯聚路由器配置相同IP地址（30位掩碼），通過運營商與支行互聯(lián)，分行路由器1與支行路由交換一體機建立OSPF鄰居，當(dāng)主用鏈路故障自動或者手動切到備用鏈路，此時分行路由器2與支行路由交換一體機建立OSPF鄰居。此種場景當(dāng)從備匯聚路由器ping支行路由交換一體機后，有可能造成A

19、RP IP地址沖突進而影響主線路的情況。分行兩臺遠程授權(quán)核心交換機配置VRRP冗余協(xié)議，來實現(xiàn)遠程授權(quán)服務(wù)器連接的遠程授權(quán)核心交換機1故障時手動切換到遠程授權(quán)核心交換機2，而不需要更改服務(wù)器網(wǎng)關(guān)地址。7 項目實施整體項目實施包括以下步驟：設(shè)備到貨設(shè)備驗收、上架設(shè)備加電、拷機、測試設(shè)備配置導(dǎo)入、互聯(lián)線纜連接網(wǎng)絡(luò)測試、冗余性測試實施過程需嚴格遵循上述步驟，實施結(jié)束后，應(yīng)對前期規(guī)劃的網(wǎng)絡(luò)冗余性進行測試，確保項目順利成功投產(chǎn)。準備工作序號類型工作內(nèi)容責(zé)任人1人員準備根據(jù)工作量和技術(shù)難度評估需要的實施人員數(shù)量和技能水平2工具準備準備設(shè)備上架的相關(guān)工具例：螺絲刀、機柜螺絲等準備設(shè)備的臨時標簽3布線準備相關(guān)

20、設(shè)備的互聯(lián)的線路需要預(yù)先布好4技能準備了解熟悉相關(guān)技術(shù)及實施思路方案步驟5設(shè)備到貨設(shè)備到貨、驗收6配置準備配置腳本的準備、及備份相關(guān)設(shè)備的配置實施具體步驟序號工作事項內(nèi)容及操作命令1網(wǎng)絡(luò)設(shè)備機柜等物理信息確認確認分行及支行網(wǎng)絡(luò)備機柜及設(shè)備上架位置等 2各MSTP專線確認確認運營商專線建設(shè)正?？捎?保存現(xiàn)網(wǎng)設(shè)備配置并備份對關(guān)聯(lián)現(xiàn)網(wǎng)設(shè)備的配置進行保存和備份4設(shè)備上架安裝、加電測試 將設(shè)備上架至指定位置，并進行加電拷機測試，確認設(shè)備正常6網(wǎng)絡(luò)設(shè)備預(yù)配置及連線先對分行及支行設(shè)備進行導(dǎo)入配置腳本并調(diào)試，分行與支行設(shè)備間MSTP專線的連接，查看配置信息、路由信息等8網(wǎng)絡(luò)測試對網(wǎng)絡(luò)進行測試，ping相關(guān)測試